Mozilla今天发布了Firefox97.0.2。此“计划外更新”更新不包含任何功能,但修复了两个列为“严重”的安全漏洞。用户必须紧急应用更新,因为Mozilla已经确认这两个安全漏洞正在被积极利用。MozillaFirefox97.0.2更新包括两个当前在外部活动的零日漏洞的补丁。正式在“Mozilla基金会安全公告2022-09”中:“我们收到了滥用[这些]漏洞的攻击报告。”有关利用这些漏洞的技术方面的信息。尽管如此,它还是提供了有关这两个被标记为“严重”的缺陷的一些细节。CVE-2022-26485(XSLT参数处理中的漏洞)。此漏洞被用于远程代码执行(RCE),这意味着攻击者在计算机上没有现有权限或帐户,可以在受害者的计算机上运行他们选择的恶意软件代码,只需将用户引诱到一个看起来无害但实际上无害的网站充满了恶意软件。CVE-2022-26486(WebGPUIPC框架中的漏洞)。该漏洞是“沙盒逃逸”的一部分,这是一种安全漏洞,可以单独被滥用(攻击者获得对本应被禁止的文件的访问权限),也可以与RCE漏洞结合使用,允许从中部署种子恶意软件浏览器逃离安全栅栏。这两个安全漏洞都被列为“免费使用后”漏洞。在编程术语中,这指的是一个应用程序表明它打算停止访问系统内存,实质上是“释放”它以供其他应用程序使用。但是,系统内存在某些情况下可能会继续使用或占用,这可能会对其他等待访问内存的应用程序产生不利影响。通常,这会导致程序崩溃,但有时甚至会损坏数据。这两种情况都可以认为是安全问题。攻击者还可以利用这些问题来诱骗程序运行不受信任的代码。要更新MozillaFirefox,请转至应用程序菜单,单击帮助>关于Firefox以开始更新。除了适用于标准用户的Firefox97之外,该更新还适用于Firefox91.6.1ESR(扩展支持版本)和适用于Android的Firefox97.3.0。
